广东
随着各大电商平台业务的本地化和全球化快速推进,平台面临的安全风险也日益复杂,黑灰产不断调整作弊方式,其中围绕“代下单”这一黑灰产作恶方式,目前该行为已渗透至全球80余个主流电商平台。
所谓“代下单”,是指黑灰产通过非法手段,替他人在电商平台上完成下单购物行为。
该行为不是单纯的代购操作,而是演化为一套结合营销活动套利、支付卡盗刷、恶意退款等手段的灰产“供应链”,能低价购买商品,之后再用低价购买商品的“权限”,替他人在电商平台上完成下单购物行为,赚取差价。
目前主要有三大类手法:利用营销活动套利、支付卡盗刷、恶意退款。
本报告将围绕其攻击平台、商品偏好与典型作案手法展开深入分析,力图还原其运作逻辑与作恶趋势,为平台制定针对性对抗策略提供参考依据。
一、代下单黑灰产生态链
代下单黑灰产已形成“下游需求驱动—中游资源整合—上游物料支撑”的三级协作体系,通过明确分工与模块化运作,实现规模化套利与欺诈。
其核心环节如下:
1.1 下游消费者(需求端)
通过社交媒体、暗网论坛等渠道接触黑灰产服务,以低价获取商品(如服饰、电子产品)。
行为特征:直接与中游组织层对接,提交商品需求并支付服务费(通常为商品原价的50%-65%)。
1.2 中游组织层(执行端)
执行作恶行为的黑产团伙,也是核心组织者,协调下游消费者需求与上游供应商资源,利用整合资源进行获利。
行为特征:调用上游供应商的支付卡信息、众包团队或恶意退款资源;同时使用技术工具(如虚拟设备、代理IP)规避平台风控。
1.3 上游供应商(资源端)
作恶基础设施与核心资源提供方,通过出售作恶基础资源获利,包括三大类:
卡商:通过暗网交易贩卖泄露的信用卡/借记卡信息(价格依卡种、额度浮动),支撑盗刷行为。
众包平台:提供真人账号与劳动力,用于批量完成拉新、领券等营销任务。
恶意退款团伙:专业化伪造退款理由(如商品破损、描述不符),提升“退款不退货”成功率。
上述三级生态链的分工协作,为黑灰产实施营销套利、支付卡盗刷、恶意退款等具体手法提供了底层支持。
下文将结合案例,逐层解析其如何利用中游执行能力与上游资源,完成低成本代下单与套利。
二、代下单现状分析
2.1 全球主流的电商平台,都在遭受“代下单”攻击,超过80余家
根据目前收集的情报数据分析显示,黑灰产的代下单行为已渗透超过 80 个电商平台,覆盖范围几乎囊括全球及区域主流的电商平台
2.2 易受攻击商品集中在衣物服饰类,占比超74%,其次是电子数码,占比14%
黑灰产代下单商品以衣物服饰为主,占比74.68%,电子数码次之(14.17%),其他品类占比较小。
衣物服饰类商品被黑灰产下单数量最多,推测与平台的流量结构和营销机制密切相关。如平台促销时对泳装、T恤等品类的重点推广,而这类产品价格适中、款式多样,契合黑灰产“低门槛、快变现”的需求。
尽管电子数码类商品的下单数量相对较少,但由于其单价高、利润大、下单门槛高,一旦被成功套利,对平台造成的损失也更为严重,需引起重点关注。
2.3 黑灰产代下单三大手法:营销套利与支付卡盗刷占比近八成
黑灰产“代下单”目前主要有三种常见手法,分别是
1、通过营销活动套利后下单,即:黑灰产利用电商平台的营销活动(如新人礼、拉新奖励、满减券、优惠券裂变等)获取大量优惠券或积分后,以极低成本为购买者下单,并从中收取服务费或以差价获利。
2、利用泄露的支付卡信息进行代下单付款,即:黑灰产通过暗网交易等渠道获取大量泄露的支付卡(信用卡/借记卡)信息,使用这些卡信息在电商平台订单上完成支付,以此收取服务费或差价。
3、借助恶意退款实现低成本代下单,即:黑灰产进行下单并收货后,使用虚假理由(如假称商品破损、描述不符等)向平台申请退款且不退货,借此在不返还商品的情况下既回收成本,又获得退款补偿。
黑灰产套利下单方式中,通过营销活动套利后下单占比最大,为44.51%;其次是利用泄露的支付卡信息和借助恶意退款实现低成本代下单。
三、代下单手法分析
3.1 黑灰产通过营销活动套利优惠券后下单
3.1.1、通过营销活动套利后下单手法分析
黑灰产利用电商平台的营销活动(如新人礼、拉新奖励、满减券、优惠券裂变等)获取大量优惠券或积分后,以极低成本为购买者下单,并从中收取服务费或以差价获利。
「黑产操作步骤」
确定购买商品:购买者与黑产建立联系并支付折扣款。
完成营销任务:黑产通过“真人众包”或“虚假设备”两种路径完成平台任务,获取平台奖励。
购买商品:黑产用奖励下单并完成发货,购买者拿到商品,黑产实现套现。
3.1.2、案例分析
电商平台通常通过优惠活动进行用户拉新,旨在吸引和激励真实用户参与消费。然而,黑灰产团伙洞察到这一营销活动,利用真人众包等违规操作完成拉新任务,非法获取本应发放给真实新用户的优惠权益,并利用优惠权益进行代下单服务,实现获利。
黑灰产套利流程说明:
购买者支付:用户先行支付商品金额,如商品原价的 50%。
启动操作:黑灰产在收款后立即启动操作流程。
下单账号准备:黑产通过批量注册等方式获取下单账号。
完成任务,获得奖励:通过真人众包等方式完成平台拉新任务,黑灰产获取平台提供的全额拉新奖励
套利达成:用户以远低于市场价的成本(约半价)获得商品,黑产完成套利行为。
以下图为某黑灰产在社交媒体发布的代下广告:
鉴于平台的拉新奖励机制通常存在时间限制,且频繁操作存在较高的封号风险,该团伙不会提前囤积账号,而是采用“按单生成”的方式开展操作:即在每笔订单生成后临时注册账号并触发拉新流程,从而在保证操作灵活性的同时,最大限度降低账号资产损耗的风险。
3.2 利用泄露的支付卡信息进行代下单付款
3.2.1、利用泄露的支付卡信息进行代下单付款手法分析
黑灰产通过暗网交易等渠道获取大量泄露的支付卡(信用卡/借记卡)信息,使用这些卡信息在电商平台订单上完成支付,以此收取服务费或差价。
「黑产操作步骤」
确定商品和平台:购买者支付折扣款,盗刷者向卡商购买支付卡信息。
盗刷实施:盗刷者利用获取的卡信息及伪装环境,向电商平台下单并完成扣款,平台发货后完成整个盗刷流程。
3.2.2、案例分析
电商平台通常通过支付卡直接进行支付,以保障用户快捷支付,然而某黑灰产团伙利用盗取的支付卡信息,针对某电商平台的策略实施盗刷及套现行为,非法获利。
黑灰产套利流程说明:
购买者提交需求:用户确定所需购买的商品及金额,并将相关信息提供给黑灰产团伙,作为下单依据。
黑灰产购买支付卡:黑灰产通过地下渠道购买下单平台可用的支付卡信息
搭建支付环境:黑产根据目标平台的风控策略,配置匹配的支付环境,以提高支付成功率并规避风控识别。
执行盗刷支付操作:黑产登录用户账户后,绑定盗刷卡完成购物车结算。
此类行为多采用“按单执行”模式,即在接收到具体订单需求后,实时获取支付卡并开展操作,以提升灵活性并降低卡片失效或被封禁的风险。
以下图为某黑灰产在社交媒体发布的代下广告:
某代下黑灰产要求登录用户账号,且该账号需有历史下单信息且至少5次购买记录,单笔订单金额需≥3000墨西哥比索。
购买者需支付代下总价值的60%给黑灰产,之后黑灰产会将盗刷卡与该账号绑定以完成付款。
3.3 借助恶意退款实现低成本代下单
3.3.1、借助恶意退款实现低成本代下单手法分析
黑灰产进行下单并收货后,使用虚假理由(如假称商品破损、描述不符等)向平台申请退款且不退货,借此在不返还商品的情况下既回收成本,又获得退款补偿,平台承担成本和补偿金损失。
「黑产操作步骤」
交易建立:购买者支付折扣款,黑产使用自有账号下单并发货,购买者正常收货。
恶意退款:黑产通过多种虚假理由申请“退款不退货”,平台同意后黑产既回收成本又保留商品。
3.3.2、案例分析
电商平台通常设有退款机制以保障消费者权益,然而黑灰产团伙利用平台退货流程的“漏洞”,根据不同平台特点针对性地实施“退款不退货”操作(如以商品破损、与描述不符等为由),申请退款后拒绝退还商品。
通过此手段,他们在不归还商品的情况下既回收了成本,又非法获得退款补偿,最终导致平台承担商品损失和退款赔付的双重负担。
黑灰产套利流程说明:
购买者提交:用户通过黑产广告得知“低价清空购物车”服务后,将购物车链接发送给黑产,并预付订单金额的约 65%,作为代下单费用。
完成下单并等待收货:黑产使用自己的账户完成下单操作,商品直接发往用户地址。
发起恶意退款:待用户确认收货后,黑产通过编造理由(如商品破损、有异味等)向平台申请“退款不退货”,并进一步申请“退款补偿”。在部分平台,该补偿会以优惠券、账户余额或红包形式返还,可用于后续订单中抵扣。
以下图为某黑灰产在社交媒体发布的恶意退款广告:
四、防御策略建议
通过对代下单黑灰产的多维度分析可见,其作案链条灵活、商品聚焦度高、攻击手法多样,已渗透全球80余个主流电商平台,形成“需求—执行—资源”三级协作的成熟生态。
为有效应对这一系统性威胁,电商平台需融合规则制定、技术防护、生态治理与用户管理,构建具备前瞻性和适应性的动态防御机制,以有效抵御当前及未来风险。
1、对抗营销活动套利
限制优惠券滥用:绑定优惠券至设备ID或支付账号,禁止跨账号转移。对高价值优惠券(如新人礼包)增设实名认证或历史消费门槛。
改造拉新奖励机制:如将直接返现改为阶梯式积分,积分需累积满额后兑换,延长有效期至30天。
2. 阻断支付卡盗刷
强化支付环境监测:对频繁更换IP、设备指纹异常(如虚拟机)的订单触发强制二次验证(人脸识别+短信动态码)。接入第三方支付卡黑名单库,实时拦截暗网泄露卡片的交易请求。
限制高风险支付行为:对首次绑定新卡的用户限制单笔交易金额(如≤500元),验证通过后逐步放宽。
3. 遏制恶意退款滥用
严格退款审核机制:对“退款不退货”申请要求用户上传商品开箱视频、瑕疵照片等证据。对高频退款账号(如月退款≥3次)自动标记,人工复核后方可处理。
优化赔付规则:对恶意退款用户实施信用分降级,限制其使用优惠券、参与促销活动等权益。
代下单类黑灰产的治理需突破传统的单点防御思维,依托行业协同与监管联动,构建“监测—打击—预防”全链路闭环,方能在与黑灰产的长期博弈中筑牢可持续的安全防线。
此外,针对黑灰产不断演变的策略与翻新手法,需要实时掌握最新攻击手法、风险动向,才能更好的有应对策略。
威胁猎人凭借在情报领域的专业实力,为企业提供业务欺诈风险监测服务,通过深入研究黑产在营销场景中的攻击方式与手法,精准识别攻击特征并总结防控要点,助力客户评估风险水位,最大程度的辅助客户快速做出应应对决策,全面提升风险识别、检测与响应的能力。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
